Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Security

Security

Kredensial admin ServiceNow di antara ratusan sandi yang terekspos dalam kesalahan keamanan cloud

by

Lebih dari 600 perusahaan, universitas, dan lembaga pemerintah mungkin secara tidak sengaja mengekspos kredensial login ServiceNow mereka – banyak dengan hak administrator – karena kerentanan dalam platform dukungan TI.

Sekarang ditambal, kelemahan keamanan berpusat pada bagaimana fitur ‘Help the Help Desk’ platform meminta informasi dari titik akhir dan membiarkan kata sandi yang tidak terenkripsi dapat dilihat secara publik di semua instance ServiceNow yang menggunakan fitur tersebut.

ServiceNow, platform komputasi cloud yang digunakan oleh perusahaan untuk mengelola alur kerja digital, memiliki lebih dari 17.000 pelanggan.

Mendapatkan akses administratif ke instance cloud ServiceNow akan memberikan kebebasan kepada penyerang atas tiket dukungan pelanggan, data karyawan, dokumentasi internal, tiket TI internal, tiket SDM internal, dan informasi pelanggan yang berpotensi sensitif lainnya.

Banyak pengguna ServiceNow memperburuk risiko keamanan dengan menggunakan kredensial administrator mereka saat menggunakan otentikasi SOAP [Simple Object Access Protocol] untuk menjalankan skrip WMI, mengabaikan dokumentasi resmi yang menguraikan proses untuk membuat peran yang tidak berhak untuk pekerjaan itu.

Hasilnya, peneliti menemukan banyak nama pengguna tingkat administrator seperti sn_admin, admin, dan servicenow-admin di antara kredensial yang terbuka.

Peneliti mengatakan permintaan GET sederhana sudah cukup untuk menentukan kapan host mengekspos kredensial.

Selengkapnya: Portswigger

Saya adalah seorang ethical hacker. Berikut adalah cara saya menggunakan media sosial untuk menipu Anda

by

Katie Paxton-Fear adalah seorang mahasiswa PhD, pemburu bug bounty dan YouTuber. Ia membagikan cerita bagaimana seorang peretas dapat menggunakan informasi yang Anda bagikan secara online untuk merugikan Anda. Simak ceritanya berikut ini.

Email phishing bisa jadi cukup meyakinkan, sering kali dialamatkan kepada kita dengan nama atau dengan detail pribadi tertentu. Peretas modern dapat menemukan semua yang perlu mereka ketahui tentang target potensial melalui Google atau media sosial dan menggunakan informasi ini untuk merancang penipuan yang sempurna.

Penjahat siber memanfaatkan detail pribadi yang kita bagikan secara online untuk mencoba dan mengelabui atau meniru identitas kita — menyatukan setiap foto yang kita posting, lokasi yang pernah kita daftarkan, orang yang kita tandai, atau foto hewan peliharaan yang kita unggah untuk membangun pemahaman tentang target mereka.

Penipuan manipulasi psikologis yang mereka buat dirancang untuk membujuk orang agar mengunduh malware, mengirim uang, membagikan informasi pribadi, atau mengungkapkan detail masuk. Ini tidak dimaksudkan untuk menakut-nakuti Anda. Sebenarnya, sangat mungkin untuk menikmati media sosial tanpa membahayakan diri sendiri.

KENYATAAN OVERSHARING MEDIA SOSIAL

Pembagian berlebihan (oversharing) yang kita semua lakukan secara online adalah tambang emas bagi penjahat siber yang melakukan penyelaman sampah digital, terutama ketika kita memposting tentang pekerjaan kita.

Banyak pos juga berisi informasi pribadi yang mungkin tampak tidak berbahaya — nama anak-anak dan hewan peliharaan, tim olahraga favorit, ulang tahun. Tetapi detail ini dapat membantu peretas menebak kata sandi Anda atau menjawab pertanyaan keamanan umum.

Peretas juga tahu bahwa orang cenderung menggunakan kembali kata sandi mereka di seluruh akun. Setelah mereka memecahkan satu sandi, mereka akan mencobanya di beberapa situs web populer, dari rekening bank hingga email Anda, untuk melihat apakah itu berhasil.

ANATOMI PENIPUAN EMAIL

Terlepas dari apa yang Anda lihat dalam penggambaran budaya pop, kebanyakan penjahat siber sebenarnya tidak meretas perusahaan. Mereka meretas orang-orang yang bekerja di sana. Meretas manusia hanya membutuhkan email yang meyakinkan, sedangkan meretas perangkat lunak seperti melangkah ke suatu ruangan dengan security laser.

Jika saya mencoba meretas perusahaan, tempat pertama yang saya kunjungi adalah LinkedIn. Mudah untuk menemukan nama lengkap dan jabatan karyawan dengan akun LinkedIn Premium yang terjangkau. Saya akan mencari staf nonteknis seperti staf penjualan atau administrasi yang mungkin lebih rentan dan memiliki akses ke banyak data perusahaan.

Saya mungkin melihat di akun LinkedIn atau Twitter seorang karyawan bahwa mereka baru saja memulai pekerjaan baru, yang memberi tahu saya bahwa mereka mungkin tidak mengetahui kepribadian eksekutif mereka dan sangat ingin menyenangkan mereka. Saya dapat menggunakan Google atau media sosial untuk mempelajari nama eksekutif ini dan memalsukan alamat email mereka, lalu mengirim email palsu ke karyawan baru ini.

Yang diperlukan hanyalah email mendesak yang mengatakan, “Hai, saya sedang rapat dan lupa ulang tahun keponakan saya. Saya ingin Anda pergi membelikan saya kartu hadiah Amazon. Saya akan mengembalikan uangmu.”

Anda akan terkejut betapa cepatnya seseorang akan mengikuti arahan mendesak dari atasan di kantor, terutama di dunia baru kerja jarak jauh kita, saat isyarat visual hilang dan Anda tidak dapat dengan cepat memverifikasi permintaan dengan rekan kerja Anda.

CARA SEDERHANA UNTUK TETAP AMAN ONLINE

Coba Googling nama Anda atau buat akun media sosial kedua untuk melihat profil Anda sendiri seperti yang dilakukan orang asing. Apakah Anda nyaman dengan semua yang Anda lihat? Jika tidak, setel akun sosial Anda ke pribadi (private) dan periksa kembali apakah Anda benar-benar mengenal semua pengikut Anda.

Hindari kata sandi yang berkaitan dengan apa yang Anda bagikan secara online. Tentu, sulit untuk mengingat semuanya, tetapi sebuah Password Manager dapat melakukan tugas berat tersebut untuk Anda.

Bersikaplah skeptis terhadap email pribadi dan kantor. Jika ada yang tidak beres, klik nama tampilan pengirim untuk memastikan alamat emailnya cocok, terutama di ponsel. Minta opini kedua dari tim IT perusahaan Anda, atau konfirmasikan permintaan secara lisan dengan rekan kerja. Terakhir, berhenti dan berpikirlah sebelum membuka lampiran, mengklik tautan, atau berbagi informasi.

Menjaga keamanan informasi Anda secara online bukanlah tentang stres atau ketakutan. Ini tentang mengetahui apa yang Anda bagikan, menyadari bagaimana hal itu dapat digunakan untuk merugikan Anda, dan mengetahui cara menjadikan pos Anda pribadi.

Sumber: Fast Company

SHAREit memperbaiki bug keamanan di aplikasi dengan 1 miliar unduhan

by

Smart Media4U Technology yang berbasis di Singapura mengatakan hari ini bahwa mereka memperbaiki kerentanan SHAREit yang mungkin memungkinkan penyerang untuk mengeksekusi kode arbitrary dari jarak jauh di perangkat pengguna.

Bug keamanan berdampak pada aplikasi SHAREit Android perusahaan, sebuah aplikasi yang diunduh lebih dari 1 miliar kali, menurut statistik Google Play Store.

Seperti yang ditemukan oleh analis ancaman seluler Trend Micro, Echo Duan dan Jesse Chang, bug keamanan yang sekarang telah diperbaiki dapat disalahgunakan oleh penyerang untuk mendapatkan akses ke informasi sensitif yang disimpan oleh pengguna pada perangkat yang menjalankan versi SHAREit yang rentan.

Mereka juga dapat disalahgunakan untuk mengeksekusi kode arbitrary dengan izin SHAREit dengan bantuan kode atau aplikasi berbahaya, yang berpotensi memungkinkan pelaku ancaman untuk menggunakannya dalam serangan Remote Code Execution (RCE).

Cacat keamanan juga membuat pengguna SHAREit yang belum ditambal terkena serangan man-in-the-disk (MITD), yang memungkinkan penyerang memanipulasi sumber daya aplikasi yang disimpan di penyimpanan eksternal melalui injeksi kode.

Sumber: Bleeping Computer

Bug XSS yang tersimpan di domain Apple iCloud diungkapkan oleh bug bounty hunter

by

Kerentanan cross-site scripting (XSS) yang disimpan di domain iCloud dilaporkan telah ditambal oleh Apple.

Bug bounty hunter dan penetration tester Vishal Bharad mengklaim telah menemukan kelemahan keamanan, yang merupakan masalah XSS yang tersimpan di icloud.com.

Kerentanan stored XSS, juga dikenal sebagai persistent XSS, dapat digunakan untuk menyimpan muatan di server target, menyuntikkan skrip berbahaya ke situs web, dan berpotensi digunakan untuk mencuri cookie, token sesi, dan data browser.

Menurut Bharad, cacat XSS di icloud.com ditemukan di fitur Halaman/Catatan Utama domain iCloud Apple.

Untuk memicu bug, penyerang perlu membuat Halaman baru atau konten Keynote dengan muatan XSS yang dikirimkan ke bidang nama.

Bharad juga menyediakan video Proof-of-Concept (PoC) untuk mendemonstrasikan kerentanan.

Sumber: ZDNet

FireEye menghubungkan serangan zero day di server FTA & kampanye pemerasan ke grup FIN11

by

Serangan menggunakan zero-day di server Accellion FTA yang telah melanda sekitar 100 perusahaan di seluruh dunia pada Desember 2020 dan Januari 2021 telah dilakukan oleh kelompok kejahatan siber yang dikenal sebagai FIN11, kata firma keamanan siber FireEye hari ini.

Selama serangan, peretas mengeksploitasi empat kelemahan keamanan untuk menyerang server FTA, memasang kerangka web bernama DEWMODE, yang kemudian digunakan penyerang untuk mengunduh file yang disimpan pada peralatan FTA korban.

“Dari sekitar 300 total klien FTA, kurang dari 100 menjadi korban serangan itu,” kata Accellion dalam siaran pers hari ini. “Dalam grup ini, kurang dari 25 tampaknya mengalami pencurian data yang signifikan”.

Tetapi FireEye mengatakan bahwa beberapa dari 25 pelanggan ini sekarang telah menerima permintaan tebusan menyusul serangan terhadap server berbagi file FTA mereka.

Para penyerang menghubungi melalui email dan meminta pembayaran Bitcoin, atau mereka akan mempublikasikan data korban di “situs kebocoran” yang dioperasikan oleh geng ransomware Clop.

Sumber: FireEye

FireEye, yang telah membantu Accellion menyelidiki serangan-serangan ini, mengatakan serangan tersebut telah dikaitkan dengan dua kelompok aktivitas yang dilacak perusahaan sebagai UNC2546 (eksploitasi zero-day pada perangkat FTA) dan UNC2582 (email yang dikirim ke korban yang mengancam untuk mempublikasikan data tentang Tutup situs kebocoran ransomware).

Kedua grup memiliki infrastruktur yang tumpang tindih dengan FIN11, geng kejahatan siber besar yang ditemukan dan didokumentasikan FireEye tahun lalu, yang memiliki berbagai bentuk operasi kejahatan siber.

Selengkapnya: ZDNet

Peringatan: Google Alerts disalahgunakan untuk mendorong pembaruan Adobe Flash palsu

by

Pelaku ancaman menggunakan Google Alerts untuk mempromosikan pembaruan Adobe Flash Player palsu yang memasang program tak diinginkan lainnya di komputer pengguna yang tidak menaruh curiga.

Pelaku ancaman membuat cerita palsu dengan judul yang berisi kata kunci populer yang kemudian diindeks oleh Google Penelusuran. Setelah diindeks, Google Alerts akan memberi tahu orang-orang yang mengikuti kata kunci tersebut.

Saat mengunjungi cerita palsu menggunakan tautan Google redirect, seperti yang ditunjukkan di bawah ini, pengunjung akan diarahkan ke situs jahat pelaku ancaman.

Sumber: BleepingComputer

Namun, jika Anda mengunjungi URL cerita palsu secara langsung, situs web akan menyatakan bahwa halaman tersebut tidak ada.

Akhir pekan ini, BleepingComputer mengamati berita palsu yang dialihkan ke kampanye baru yang menyatakan Flash Player Anda sudah usang dan kemudian meminta Anda untuk menginstal updater.

Sumber: BleepingCompuer

Jika pengguna mengklik tombol Update, mereka akan mendownload file setup.msi [VirusTotal] yang menginstal program yang mungkin tidak diinginkan bernama ‘One Updater’.

Sumber: BleepingComputer

Seiring waktu, One Updater akan menampilkan pembaruan yang harus diinstal dan menawarkan program yang mungkin tidak diinginkan.

Jika Anda dialihkan ke situs web, baik melalui Google Alerts, Google Search, atau cara lain dan diminta untuk memasang ekstensi atau pembaruan program, cukup tutup browser Anda.

Selengkapnya: Bleeping Computer

Zero-day Windows yang baru diperbaiki, dieksploitasi secara aktif sejak pertengahan 2020

by

Microsoft mengatakan bahwa kerentanan Windows zero-day dengan tingkat keparahan tinggi yang ditambal selama Patch Tuesday Februari 2021 dieksploitasi di alam liar setidaknya sejak musim panas 2020 menurut data telemetri.

Bug zero-day yang dieksploitasi secara aktif dilacak sebagai ‘CVE-2021-1732 – Peningkatan Kerentanan Hak Istimewa Windows Win32k’.

Ini memungkinkan penyerang lokal untuk meningkatkan hak istimewanya ke tingkat admin dengan memicu kondisi use-after-free di komponen kernel inti win32k.sys.

CVE-2021-1732 dapat dieksploitasi oleh penyerang dengan hak istimewa pengguna dasar dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.

Untungnya, pelaku ancaman diharuskan memiliki hak untuk mengeksekusi kode agar eksploitasi berhasil. Namun, ini dapat dengan mudah dicapai dengan mengelabui target agar membuka lampiran berbahaya yang dikirim melalui email phishing.

Kerentanan tersebut ditemukan dan dilaporkan ke Pusat Respons Keamanan Microsoft pada tanggal 29 Desember oleh para peneliti di DBAPPSecurity.

Menurut laporan mereka, zero-day secara aktif digunakan dalam serangan yang ditargetkan oleh kelompok ancaman persisten tingkat lanjut (APT) yang dilacak sebagai Bitter (Forcepoint) dan T-APT-17 (Tencent).

Eksploitasi yang digunakan dalam serangan bertarget Bitter dibagikan pada 11 Desember di platform penelitian malware publik VirusTotal, tetapi pelaku ancaman mulai mengeksploitasi zero-day pada pertengahan 2020 yang diamati Microsoft setelah menganalisis data telemetri.

Selengkapnya: Bleeping Computer

Penjahat siber telah menemukan cara baru yang licik untuk mengelabui Anda dengan penipuan phishing

by

Penjahat siber terus-menerus mengubah taktik mereka agar serangan mereka terhindar dari deteksi dan peneliti keamanan dari GreatHorn telah menemukan kampanye phishing baru yang mampu melewati pertahanan URL tradisional.

Meskipun banyak penipuan phishing melibatkan pengubahan huruf dari URL situs populer untuk mengelabui pengguna agar menavigasi ke halaman arahan palsu, kampanye baru ini mengubah simbol yang digunakan di awalan sebelum URL.

URL yang digunakan dalam kampanye baru ini memiliki format yang salah dan tidak menggunakan protokol URL biasa seperti http:// atau https://. Sebaliknya, mereka menggunakan http:/\ di awalan URL mereka. Karena titik dua dan dua garis miring selalu digunakan dalam format URL standar, sebagian besar browser secara otomatis mengabaikan faktor ini.

Menurut tulisan blog baru dari Tim Intelijen Ancaman GreatHorn, serangan awalan yang salah format ini pertama kali muncul pada Oktober tahun lalu dan mendapatkan momentum hingga akhir tahun.

Untuk mencegah menjadi korban serangan awalan yang salah format, GreatHorn merekomendasikan agar organisasi memberikan pelatihan kepada karyawannya tentang cara mengenali awalan URL yang mencurigakan. Namun pada saat yang sama, tim keamanan harus mencari email organisasi mereka untuk setiap pesan yang berisi URL yang cocok dengan pola ancaman ini dan menghapusnya.

Selengkapnya: Tech Radar